Перейти к содержанию

Взлом по RDP и шифровка файлов


Рекомендуемые сообщения

Владимир В. А.

Добрый день!

 

Windows 7 Pro x64

Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).

В дальнейшем предполагаю переставить систему.

 

Addition.txt files.zip FRST.txt

Изменено пользователем Владимир В. А.
Ссылка на сообщение
Поделиться на другие сайты

Систему уже проверяли антивирусными сканерами? можете предоставить логи сканирования?

С расшифровкой не поможем, файлы зашифрованы Mimic/N3ww4v3, сохраните важные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Владимир В. А.

Нет, пока только обнаружил тело вируса. Проверять утилитами Касперского и ДрВеба?

Ссылка на сообщение
Поделиться на другие сайты

Файлы шифровальщика заархивируйте в один файл с паролем infected, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Владимир В. А.

Сделал. 

Оказывается шифровка шла одновременно с нескольких разных компьютеров, с разным и decrypt id и в некоторых местах перешифровал свои же ini и db поэтому взял где более полно файлы есть шифровщика, и оттуда же зашифрованные файлы

files2.zip

Ссылка на сообщение
Поделиться на другие сайты
12 minutes ago, Владимир В. А. said:

Сделал. 

известен в течение 1, 5 месяцев, детектируется основными антивирусами.

 

Quote

с разным и decrypt id

ID есть в записках о выкупе.

YOUR PERSONAL DECRYPTION ID - XXXXXXXXXXXXXXXXXXXXXX*ZERODAYHORSE

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
  • 3 months later...
Владимир В. А.

Хотелось бы вернуться к решения последствий.

После выкупа прислали дешифраторы, после запуска дешифратора на уже свежепоставленной win 10 при загрузке (перезагрузке) монтируются загрузочные разделы (которые по 100-500Мб) на буквы z y и так далее. 

Не могу понять, где это вычистить.. 

Автозагрузку смотрел, ничего подозрительно. Mount points проверял, вроде тоже ничего подозрительного, но это не точно) куда еще можно посмотреть?

Изменено пользователем Владимир В. А.
Ссылка на сообщение
Поделиться на другие сайты

до шифрования на диске было сколько разделов?  после работы дешифратора под каждый раздел добавлены загрузочные разделы?

Ссылка на сообщение
Поделиться на другие сайты
Владимир В. А.
9 часов назад, safety сказал:

до шифрования на диске было сколько разделов?  после работы дешифратора под каждый раздел добавлены загрузочные разделы?

До шифрования был ссд c вин7, после шифрования, ссд был отформатирован в GPT с тремя разделами - 1, EFI 100МБ, 2, раздел с системой 446ГБ, 3, "Раздел восстановления" 520МБ.

После перезагрузки 1 и 3 раздел получают буквы Z и Y, удаляю через diskpart, после перезагрузки снова.

Ссылка на сообщение
Поделиться на другие сайты

Возможно, какой-то софт монтирует эти области диска через буквы. Пробуйте обратиться в раздел компьютерной помощи. (Я, кстати, тоже замечал это при тестовых расшифровках по mimic на VM W7)

Изменено пользователем safety
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • RQST
      От RQST
      Добрый день!

      Прошу помощи с шифровальщиком mimic / elpaco. Поражена инфраструктура офиса.

      -----------

      Сообщение шифровальщика:

      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is D6F1UYsBfAD8vuYRO-7qBajEYC86q4SkUIPo7z8LpE0*ELPACO-team
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - de_tech@tuta.io
      2) Telegram - @Online7_365  or https://t.me/Online7_365
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.

      -----------

      Пароль на архивы - "virus" (без кавычек)

      root.zip - Файлы из корня диска, в том числе зашифрованные (расширение зашифрованных файлов - .ELPACO-team)
      temp.zip - временные файлы вируса
      F6A3737E-E3B0-8956-8261-0121C68105F3.zip - вирус (запуск через ветку реестра run) по ссылке https://disk.yandex.ru/d/dkHtydu6GhGFEA

      ----

      frst.zip и FS01-S-2024-07-21_09-25-57_v4.15.7v.7z - отчеты
      frst.zip root.zip temp.zip FS01-S-2024-07-21_09-25-57_v4.15.7v.7z
    • Zakhar Sergeich
      От Zakhar Sergeich
      Добрый день.
      При очистке ПК нашлись трояны mimikatz и mimilove.
      Есть ли шансы расшифровать?
      Desktop.zip Addition.txt FRST.txt
    • Drugov
      От Drugov
      Бодрый день, файлы с расширением doc xls pdf были переименованы в doc.PODSTAVLIAIPOPKU  xls.PODSTAVLIAIPOPKU  pdf.PODSTAVLIAIPOPKU. Подскажите как избавиться от самого вируса, расшифровывать не надо, есть бекап. Прилагаю файлы addition FRST. Заранее благодарен.
      Addition.txt FRST.txt
    • печалька
      От печалька
      Добрый День, поймали вирус шифровальщик, который аномально странно все зашифровал, удалил резервные копии Windows и ограничил в действиях ( нельзя зайти в панель управления, безопасный режим, выключить компьютер и т.д)
      Расширение файлов, тоже очень странное PODSAVLIAIPOPKU
      выдал информацию Trojan-PSW.Win32.Mimikatz.gen, Trojan.Win32.Generetic и Trojan-PSW.Win32.Mimilove.gen.
      В письме указали:
       
      PODSTAVLIAIPOPKU Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - hhK9RYMlcsT41PQRP2piv8vBwFjL0Ga7sPRpzXCiNnY*PODSTAVLIAIPOPKU
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PODSTAVLIAIPOPKU
      3)SKYPE - PODSTAVLIAIPOPKU Decryption
       
      Как, стало позже понятно, Файлы зашифрованы Trojan.Encoder.35534.
       
      К сожелению пока самостоятельно не удалось найти дешифровщик.
       
       
       
      PODSTAVLIAIPOPKU_DECRYPTION.txt
    • Lumen42
      От Lumen42
      Сегодня обнаружили зашифрованный сервер на ОС Windows Server 2008. С прекрипленными сообщениями во всех файлах:
      Panin Ransomware
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - jbx8rpLn3oxEIhsjTsxJ0cPNxgMViN6Z2ymanqkvDHA*PANIN
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @PANIN
      3)SKYPE - Panin Decryption
       
      Взлом предположительно был через RDP (пароль стоял стоковый)
      Addition.txt FRST.txt Desktop.rar
×
×
  • Создать...